Android : Google met fin au support de WebView dans les versions antérieures à KitKat
La sécurité de près d'un milliard de smartphones menacée
Android : Google met fin au support de WebView dans les versions antérieures à KitKat
La sécurité de près d'un milliard de smartphones menacée
Le , par Michael Guilloux
La sécurité de près d'un milliard de smartphones Android menacée
C'est surement une mauvaise nouvelle pour les utilisateurs d'Android qui exécutent des versions antérieures à Android 4.4 Kitkat et une bonne nouvelle pour les pirates qui auront plus de facilité.
Google a récemment pris la décision d'arrêter le développement de correctifs pour les bogues de WebView dans Android 4.3 Jelly Bean et les versions antérieures. Environ 60% des utilisateurs d'Android seront impactés par cette décision.
WebView permet aux applications d'afficher des pages Web sans avoir à ouvrir une autre application. De nombreuses applications et des réseaux publicitaires utilisent le composant. D'ailleurs, l'équipe Google Android préconise l'outil dans sa documentation pour les développeurs sur le rendu des pages Web.
Toutefois, WebView est aussi le vecteur privilégié pour mener des attaques par exécution de code distant dans le système d'exploitation mobile, selon le directeur de l'ingénierie de Rapid7, Tod Beardsley. Des failles de logiciels ont, à plusieurs reprises, été découvertes dans Android et WebView, rendant le manque de mises à jour encore plus dangereux.
Après avoir reçu un rapport d'une nouvelle vulnérabilité dans le WebView antérieur à 4.4 en octobre 2014, les gestionnaires d'incidents Android de Google ont déclaré que la société va laisser aux développeurs externes la tâche de développer des correctifs de sécurité, d'après Beardsley. « Si la version affectée [de WebView] est avant 4.4, nous ne développons généralement pas les patchs nous-mêmes, mais faisons bon accueil à des correctifs » qui prennent en compte les défauts reportés. « Nous ne sommes pas en mesure de mener des actions pour les défauts qui affectent les versions antérieures à 4.4 qui ne sont pas accompagnées d'un patch. »
Cela suppose que la prochaine fois qu'un chercheur ou un pirate trouvera une vulnérabilité dans WebView sur une version Android antérieure à Kitkat, Google ne va pas, lui-même, créer un patch pour la vulnérabilité. Cependant, si quelqu'un d'autre en développe, Google va intégrer ces correctifs dans le code Android Open Source Project. Google les donnera également aux fabricants de téléphones, mais c'est là que sa responsabilité s'arrête.
Android est open source, ce qui signifie techniquement que n'importe qui pourrait créer des patchs, mais les chances que ces correctifs soient distribués par les fabricants d'appareils comme Samsung sont minces, a ajouté Beardsley. La fin du support pour la plupart des utilisateurs d'Android pourrait donc augmenter le nombre d’attaques par téléchargements cachés sur Android.
Pour le directeur de l’ingénierie de Rapid7, la décision de supprimer le support de WebView pour les versions antérieures à Android Kitkat est suicidaire, mais elle trouve une explication dans les objectifs de Google. « Bien sûr, j'espérais qu’abandonner le support de 60% de votre base d'installation serait suicidaire, cependant nous y sommes », a-t-il dit.
Beardsley a ajouté que l’une des raisons pour lesquelles Google a décidé de ne plus fournir de correctifs de WebView pour Jelly Bean et les versions antérieures est que « la meilleure façon de s'assurer que les appareils Android sont en sécurité est de les mettre à jour à la dernière version d’Android », donc de passer par exemple à Android 5.0 Lollipop qui peine à convaincre. Il soupçonne, par ailleurs, que cette décision ait coïncidé avec la sortie de la dernière version d’Android.
Source : Tod Beardsley
Et vous ?
Que pensez-vous de la décision de Google ? Quelles pourraient en être les raisons ?
Une erreur dans cette actualité ? Signalez-nous-la !